Definições de configuração personalizadas para Ambientes de Serviço de Aplicativo
Visão geral
Como os Ambientes de Serviço de Aplicativo são isolados em um único cliente, há certas definições de configuração que podem ser aplicadas exclusivamente a Ambientes de Serviço de Aplicativo. Este artigo documenta as várias personalizações específicas que estão disponíveis para Ambientes de Serviço de Aplicativo.
Observação
Este artigo aborda os recursos, benefícios e casos de uso do Ambiente do Serviço de Aplicativo v3, que é usado com os planos do Serviço do Aplicativo Isolado v2.
Se você não tiver um Ambiente do Serviço de Aplicativo, consulte Como criar um Ambiente do Serviço de Aplicativo v3.
Você pode armazenar as personalizações de Ambiente de Serviço de Aplicativo usando uma matriz no novo atributo clusterSettings . Esse atributo é encontrado no dicionário de "Propriedades" da entidade do Azure Resource Manager hostingEnvironments .
O snippet de código de modelo do Resource Manager abreviado a seguir mostra o atributo clusterSettings :
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
O atributo clusterSettings pode ser incluído em um modelo do Resource Manager para atualizar o Ambiente de Serviço de Aplicativo.
Usar o Gerenciador de Recursos do Azure para atualizar um Ambiente de Serviço de Aplicativo
Como alternativa, você pode atualizar o Ambiente de Serviço de Aplicativo usando o Gerenciador de Recursos do Azure.
- No Gerenciador de Recursos, acesse o nó para o Ambiente do Serviço de Aplicativo (subscriptions>{sua assinatura}>resourceGroups>{seu grupo de recursos}>providers>Microsoft.Web>hostingEnvironments). Em seguida, clique no Ambiente de Serviço de Aplicativo específico que você deseja atualizar.
- No painel à direita, clique em Leitura/gravação na barra de ferramentas superior para permitir a edição interativa no Gerenciador de Recursos.
- Clique no botão azul Editar para tornar o modelo do Resource Manager editável.
- Role até o final do painel à direita. O atributo clusterSettings está na parte inferior, na qual você poderá inserir ou atualizar seu valor.
- Digite (ou copie e cole) a matriz de valores de configuração desejada no atributo clusterSettings .
- Clique no botão verde PUT localizado na parte superior do painel à direita para confirmar a alteração no Ambiente de Serviço de Aplicativo.
Independentemente de como você envia a alteração, ela não é imediata e pode levar até 24 horas para que ela entre em vigor. Algumas configurações têm detalhes específicos sobre o tempo e o impacto da configuração da configuração específica.
Habilitar criptografia interna
O Ambiente do Serviço de Aplicativo funciona como um sistema de caixa preta em que você não pode ver os componentes internos nem a comunicação dentro do sistema. Para habilitar uma taxa de transferência mais alta, a criptografia não é habilitada por padrão entre os componentes internos. O sistema é seguro, pois o tráfego não pode ser monitorado nem acessado. Se você tiver um requisito de conformidade, embora exija a criptografia completa do caminho de dados de ponta a ponta, há um modo de habilitar a criptografia do caminho de dados completo com um clusterSetting.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
A definição de InternalEncryption para true criptografa o tráfego de rede interno em seu Ambiente do Serviço de Aplicativo entre os front-ends e as funções de trabalho, criptografa o arquivo de paginação e criptografa os discos das funções de trabalho. Depois que o InternalEncryption clusterSetting estiver habilitado, o desempenho do sistema poderá ser afetado. Ao fazer a alteração para habilitar InternalEncryption, seu Ambiente do Serviço de Aplicativo estará em um estado instável até que a alteração seja totalmente propagada. A propagação completa da alteração pode levar algumas horas para ser concluída, dependendo de quantas instâncias você tem em seu Ambiente do Serviço de Aplicativo. É altamente recomendável não habilitar InternalEncryption em um Ambiente do Serviço de Aplicativo enquanto ele está em uso. Se você precisa habilitar InternalEncryption em um Ambiente do Serviço de Aplicativo usado ativamente, recomendamos desviar o tráfego para um ambiente de backup até o fim da operação.
Desabilitar o TLS 1.0 e TLS 1.1
Se você deseja gerenciar as configurações de TLS em um aplicativo por aplicativo, é possível usar as orientações fornecidas com a documentação Impor configurações de TLS.
Se desejar desabilitar todo o tráfego de TLS 1.0 e TLS 1.1 para todos os aplicativos em um Ambiente do Serviço de Aplicativo, você poderá definir a seguinte entrada clusterSettings:
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
O nome da configuração informa 1.0, mas quando configurado, ele desabilita o TLS 1.0 e TLS 1.1.
Mudar a ordem do pacote de criptografia TLS
O Ambiente do Serviço de Aplicativo dá suporte à alteração do conjunto de criptografia do padrão. O conjunto de criptografia padrão é o mesmo conjunto usado no Serviço de Aplicativo multilocatário. A alteração do conjunto de criptografias só é possível com o Ambiente do Serviço de Aplicativo, a oferta de locatário único, não a oferta multilocatário, porque sua alteração afeta toda a implantação do Serviço de Aplicativo. Há dois conjuntos de criptografia necessários para um Ambiente do Serviço de Aplicativo: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Além disso, você deve incluir os seguintes conjuntos de criptografia, que são necessários para o TLS 1.3: TLS_AES_256_GCM_SHA384 e TLS_AES_128_GCM_SHA256.
Para configurar seu Ambiente do Serviço de Aplicativo para usar apenas as criptografias que ele requer, modifique o clusterSettings conforme mostrado na amostra a seguir. Verifique se as criptografias TLS 1.3 estão incluídas no início da lista.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Aviso
Se valores incorretos forem definidos para o pacote de criptografia e o SChannel não puder entendê-los, toda a comunicação TLS com o servidor poderá parar de funcionar. Nesse caso, você precisará remover a entrada FrontEndSSLCipherSuiteOrder de clusterSettings e enviar o modelo atualizado do Resource Manager para reverter para as configurações padrão do pacote de criptografia. Use esta funcionalidade com cuidado.
Introdução
O site de modelo do Azure Quickstart Resource Manager inclui um modelo com a definição básica para a criação de um Ambiente de Serviço de Aplicativo.